|
6 · 2018
123
Teckel
&
Jagd
Was ist zu tun?
Verschaffen Sie sich einen Überblick, auf
welchen Wegen Daten zu Ihnen kommen,
welche Daten verarbeitet werden, was pas-
siert nach Erhalt mit diesen Daten, wer hat
Zugriff auf diese Daten und vor allem auch,
was überhaupt an Daten/Altdaten ist an
welchen Orten vorhanden? Wo liegen noch
alte Unterlagen? Was bewahren Obleute,
Prüfungsleiter und andere Mitglieder für
den Verein auf. Brauchen diese Personen
tatsächlich diese Daten? Das ist Aufgabe
des Vorsitzenden bzw. des Vorstands.
Alle diese Angaben werden sodann in dem
von der EU DSG VO geforderten „Verzeich-
nis der Verarbeitungstätigkeiten“ zusam-
mengefasst.
In dieses Verzeichnis gehören auch alle
technisch-organisatorischen Maßnahmen
(TOMs), die gewährleisten, dass die im Ver-
ein befindlichen Daten sicher sind, also vor
dem Zugriff Unberechtigter geschützt
sind, nicht verloren gehen, wiederherstell-
bar sind etc.
Muss ein Datenschutz
beauftragter bestellt werden?
Ja, wennmindestens zehn Personen irgend-
wie automatisiert Daten verarbeiten (also
mit PC, Laptop, Smartphone usw.), besteht
die Pflicht, einen Datenschutzbeauftragten
zu benennen. Je nach Vorstandsgröße inklu-
sive Obleuten trifft dies häufig sogar schon
auf eher kleine Vereine zu.
Wichtig!
Auch wer keinen Datenschutzbe-
auftragten benennen muss, muss sich trotz-
demumdenDatenschutz kümmern, braucht
also einen Ansprechpartner für den Bereich
Datenschutz, der sowohl im Impressum als
auch in der Datenschutzerklärung zu benen-
nen ist.
Was ist laut EU DSG VO mit
Verarbeitung von Daten
gemeint?
Verarbeitung ist das Erheben, Erfassen,
Organisieren, Ordnen, Speichern, Anpas-
sen oder Verändern, Auslesen, Abfragen,
Verwenden, Offenlegen durch Übermitt-
lung, Verbreiten, Abgleichen, Verknüpfen,
Beschränken, Löschen oder Vernichten von
personenbezogenen Daten.
Unter die Nutzung fällt zum Beispiel die
Datenweitergabe innerhalb des Vereins im
Vorstand oder bei externer Verwaltung der
Vereinsdaten. In letzterem Fall ist ein sog.
Auftragsverarbeitervertrag zu schließen.
Generell gilt, dass jeder Funktionsträger im
Verein nur entsprechend seiner Aufgaben
auf die erforderlichen Mitgliederdaten
Zugriff haben darf.
Was bedeuten Informations-
und Auskunftsrecht laut
EU DSG VO?
Die EU DSG VO stärkt die Betroffenen-
rechte. Betroffene können Auskunft dar
über verlangen, welche Daten zu welchen
Zwecken gespeichert werden. Diese Aus-
kunft muss kurzfristig möglich sein. Sie
können zudem verlangen, dass die Daten
nach Beendigung der Mitgliedschaft
gelöscht werden, soweit keine gesetzli-
chen Regelungen entgegenstehen. Dies
muss dokumentiert werden.
Was passiert bei einer Ver
letzung personenbezogener
Daten?
Der Schutz personenbezogener Daten
kann auf vielfältige Weise verletzt werden.
Zum Beispiel durch den Verlust einer Mit-
gliederliste, erfolgreiche Hacking-Angriffe,
Verschicken von Mitteilungen über einen
offenen E-Mail-Verteiler oder der Verlust
eines Laptops oder Smartphones mit Mit-
gliederdaten.
In solchen Fällen ist unverzüglich (lt. Verord-
nung innerhalb von 72 Stunden) die zustän-
dige Datenschutzaufsichtsbehörde (das ist
die im jeweiligen Bundesland zuständige
Behörde für den Datenschutz) zu informie-
ren. Mit der Behörde kann dann geklärt wer-
den, ob und in welchem Umfang die Ver-
einsmitglieder zu informieren sind.
Webseiten – Risiko!
Am dringlichsten ist die Überprüfung der
Webseiten, da Abmahnanwälte und
Abmahnvereine schon in den Startlöchern
stehen und prüfen, ob die Webseiten EU-
konform sind.
Ist dies nicht der Fall, weil es keine Daten-
schutzerklärung auf der Webseite gibt
oder diese unvollständig ist, drohen kos-
tenintensive Abmahnungen.
Neben dem Impressum muss zwingend
eine Datenschutzerklärung vorhanden
sein. Der Nutzer hat Anspruch auf klare
und leicht verständliche Informationen
darüber, wer seine Daten zu welchem
Zweck wie und wo verarbeitet.
Die Datenschutzerklärung muss individuell
gestaltet werden, je nachdem ob und wie
personenbezogene Daten erhoben wer-
den. Auch auf den Einsatz externer Dienste,
wie zum Beispiel Facebook und Google,
muss hingewiesen werden, sofern diese
durch den Aufruf der Website personenbe-
zogene Daten erheben. Dies ist der Fall bei
Google-Analytics, Googlemaps, Google-
Schriften u. a. Bitte klären Sie das mit
Ihrem IT-Dienstleister.
Falls die Umsetzung der EU DSG VO bis
zum 24. Mai 2018, 23.59 Uhr, nicht möglich
sein sollte (dazu gehören auch die Einwilli-
gungserklärungen der Personen, deren
Daten auf der Website veröffentlicht sind),
ist angeraten, Teile der Webseite mit per-
sonenbezogenen Daten oder sogar die
komplette Webseite offline zu stellen.
Verantwortliche Stelle für die Umsetzung
der EU DSG VO ist der Vereinsvorstand.
Datenschutzerklärung
Zugriffsdaten werden nahezu bei jedem
Webseitenbesuch erhoben. Welche das
sind, erfragen Sie am besten bei Ihrer IT-
Abteilung oder Ihrem IT-Dienstleister, der
IhrenWebserver hostet. Anschließend pas-
sen Sie ggf. die Informationen zu den die
erhobenen Daten im Text an.
Für jeden Tracker, jedes Plug-In oder Tool,
das in irgendeiner Weise mit personenbe-
zogenen Daten in Verbindung steht, ist
eine entsprechende Datenschutzerklärung
zu formulieren!
Die Datenschutzerklärung muss über
einen Link zu erreichen sein und sollte
schon über den ersten Screen – also den
Webseitenbereich, der beim Laden zuerst
zu sehen ist – erkennbar und erreichbar
sein.
Setzen Sie Cookies ein? Analyse-Tools
(Google-Analytics)?
Plug-Ins?
Tracker?
Google-Maps? Zu jedem einzelnen Tool
muss eine entsprechende Datenschutzer-
klärung formuliert werden. Zudemmüssen
ggf. noch besondere Hinweise vor der Nut-
zung des Tools durch den Webseitenbesu-
cher installiert werden.
In der Datenschutzerklärung ist ferner der
Verantwortliche für den Datenschutz mit
Kontaktdaten anzugeben. Der Hinweis auf
die Aufsichtsbehörde sollte ebenfalls nicht
fehlen.
Die Datenschutzerklärung darf nicht Teil
des Impressums sein. Es muss zwingend
ein eigener Link gesetzt werden.
Kontaktformular
Bei Kontaktmöglichkeiten auf der Webseite
ist diese zwingend mit einem Sicherheits-
zertifikat zu versehen (SSL-Verschlüsselung).
Der Benutzer muss an dieser Stelle in ver-
ständlicher Form über Art, Zweck und
Umfang der Erhebung und Nutzung der per-
sonenbezogenen Daten informiert werden,
weil er nur so weiß, worin er einwilligt.
Zugleich muss er über das Widerrufsrecht
für die erteilte Einwilligung aufgeklärt wer-
den, das er jederzeit ausüben kann. Es muss
ein Hinweis auf die Datenschutzerklärung
